View a markdown version of this page

Generación de recomendaciones de políticas para los hallazgos de acceso no utilizados - AWS Security Hub
Cómo funcionan las recomendaciones de políticas¿Quién puede generar recomendacionesCiclo de vida deCasos de errorUso de la consolaReferencia de la API

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Generación de recomendaciones de políticas para los hallazgos de acceso no utilizados

En el caso de los permisos no utilizados, Security Hub puede generar recomendaciones de políticas de privilegios mínimos que muestren una política de reemplazo con alcance limitado. La recomendación evalúa cada política asociada a la entidad principal de IAM y genera una sustituta que conserva solo los permisos que la entidad principal haya utilizado realmente. Esta capacidad se proporciona a todos los clientes de Security Hub sin coste adicional.

Cómo funcionan las recomendaciones de políticas

La generación de recomendaciones de políticas es una operación asíncrona. Para generar y recuperar una recomendación:

  1. Recupere los permisos no utilizados encontrados en Security Hub mediante la operación de GetFindingsV2 API. Anote el metadata.uid campo del hallazgo.

  2. Llama GenerateRecommendedPolicyV2 con los resultadosmetadata.uid. Esto inicia la generación de recomendaciones, que normalmente se completa en 20 segundos.

  3. Realice una encuesta GetRecommendedPolicyV2 con la misma metadata.uid hasta que el status campo vuelva SUCCEEDED a aparecer.

  4. La respuesta contiene uno o más pasos de recomendación. Cada paso especifica uno recommendedAction de los siguientes: crear y adjuntar una política de reemplazo con un alcance limitado o DETACH_POLICY (separar la política original con más privilegios). CREATE_POLICY En cuanto a CREATE_POLICY los pasos, la respuesta incluye tanto el existingPolicy JSON como el JSON para que puedas recommendedPolicy compararlos.

Debe llamar GenerateRecommendedPolicyV2 antes de llamar GetRecommendedPolicyV2 si no se ha generado previamente una recomendación al respecto.

¿Quién puede generar recomendaciones

Tanto el propietario de la cuenta como los administradores delegados pueden realizar estas operaciones de API:

  • Los propietarios de las cuentas pueden generar y ver recomendaciones sobre los permisos no utilizados encontrados en sus propias cuentas.

  • Los administradores delegados pueden generar y ver recomendaciones sobre los permisos no utilizados de cualquier cuenta de miembro detectados en su organización.

Si no eres un administrador delegado y el hallazgo pertenece a una cuenta diferente, la operación de la API devolverá un AccessDeniedException error.

Ciclo de vida de

  • Las recomendaciones se almacenan en caché durante 90 días y permanecen disponibles mientras la búsqueda esté activa (no cerrada). Sin embargo, llamar GenerateRecommendedPolicyV2 varias veces invalidará la caché e iniciará una nueva tarea que sustituirá a la política de almacenamiento en caché. Se recomienda que solo llames GenerateRecommendedPolicyV2 una vez por búsqueda.

  • La recomendación sigue un patrón de separación y conexión. No modifica las políticas de IAM existentes. Debe revisar la política recomendada y aplicarla manualmente en la consola de IAM o mediante la API de IAM.

  • Si se resuelve el problema (por ejemplo, porque ahora se utilizan los permisos que antes no se utilizaban), la recomendación ya no está disponible.

Casos de error

Las operaciones de la API devuelven errores en las siguientes situaciones:

  • El hallazgo se ha resuelto: InvalidInputException (HTTP 400).

  • El hallazgo no es un hallazgo de permisos no utilizados InvalidInputException (HTTP 400).

  • El principal de IAM se creó mediante el conjunto de permisos del IAM Identity Center. Las políticas de los principales conjuntos de permisos no se pueden modificar directamente. La recomendación devuelve un FAILED estado con una explicación.

  • La persona que llama no es un administrador delegado y el hallazgo pertenece a una cuenta diferente AccessDeniedException (HTTP 403).

  • Aún no se ha generado ninguna recomendación y se llama GetRecommendedPolicyV2 sin llamar GenerateRecommendedPolicyV2 primero ResourceNotFoundException (HTTP 404).

Uso de la consola

En la consola de Security Hub, puede generar una recomendación de política consultando una búsqueda de permisos no utilizados y seleccionando la pestaña Remediación. La consola muestra una barra giratoria de carga mientras se crea la recomendación. Cuando la recomendación esté lista, puedes elegir Vista previa para ver una comparación paralela de tu póliza actual y la que se recomienda reemplazar con menos privilegios. Puedes copiar la política recomendada en formato JSON.

Referencia de la API

  • GenerateRecommendedPolicyV2— Inicia la generación asíncrona de una recomendación de política de privilegios mínimos para la búsqueda de permisos no utilizados. Toma los hallazgos como entrada. metadata.uid En caso de éxito, devuelve HTTP 200 con un cuerpo vacío.

  • GetRecommendedPolicyV2— Recupera la recomendación de política generada. Toma los hallazgos metadata.uid como entrada. Admite la paginación con maxResults (1—100) y nextToken parámetros. Devuelve el estado de la recomendación (IN_PROGRESSSUCCEEDED, oFAILED), los pasos de la recomendación, el ARN del recurso y cualquier error.

Para obtener documentación detallada sobre la API, consulte la Referencia de la API de Security Hub.